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31.08.00 Si/Hz 

ROBERT BOSCH GMBH, 70442 Stuttgart 



Verfahren zur Dateniibertragung 
Stand der Technik 

Die Er-findung geht aus von einem Verfahren zur 
Dateniibertragung nach der Gattung des Hauptanspruchs . Es ist 
schon ein Verfahren zur Dateniibertragung aus der 
DE 44 42 357 Al bekannt, bei der Daten zwischen einer 
Datenverarbeitungseinrichtung und einem Endgerat iibertragen 
werden. Vor der Aufnahme der Ubertragung von Daten erfolgt 
eine gegenseitige Authentif ikation unter Verwendung von in 
jeweils einem Sicherheitsmodul der Datenverarbeitungs- 
einrichtung und des Endgerates gespeicherten Codes. Ferner 
wird ein Code iibermittelt, aus dem es ersichtlich ist, ob 
die Datensatze wahrend der Ubertragung verandert wurden . Die 
Sicherheit der Ubertragung ist damit an die Verwendung der 
Sicherheitsmodule gebunden. 

Vorteile der Erfindung 

Das erf indungsgemafte Verfahren mit den Merkmalen des 
Hauptanspruchs hat demgegeniiber den Vorteil, dass Daten, die 
an eine erste Recheneinheit iibermittelt werden, zusatzlich 
dadurch gepriift werden, dass auf die ersten Daten bezogene 
zweite Daten an eine zweite Recheneinheit iibermittelt werden 
und mittels einer Uberpriifung der zweiten Daten eine 
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Korrektheit der ersten Daten iiberpruft wird. Wahrend gemaft 
dem zitierten Stand der Technik die Sicherheit einer 
Dateniibertragung lediglich durch das dem Endgerat 
zugeordnete Sicherheitsmodul gewahrleistet wird, ist mit dem 
erf indungsgemaften Verfahren eine zusatzliche Uberprlifung 
durch eine unabhangige, zweite Recheneinheit moglich. 
Insbesondere kann hierdurch ein unberechtigtes Ubertragen 
von ersten Daten auf die erste Recheneinheit durch die 
zweite Recheneinheit auch dann ermittelt werden, wenn z.B. 
die ersten Daten aus einer nicht autorisierten Quelle 
stammen, z.B. von einer nicht autorisierten Kopie eines 
Datentragers , oder wenn z.B. erste Daten von einer dritten 
Recheneinheit durch einen Unberechtigten ubertragen werden. 
Die Datensicherheit ist nicht mehr an ein Sicherheitsmodul 
gebunden, das auch entwendet werden kann, sondern wird von 
der zusatzlichen zweiten Recheneinheit gewahrleistet. 

Durch die in den Unteranspriichen aufgefiihrten Maftnahmen sind 
vorteilhafte Weiterbildungen und Verbesserungen des im 
Hauptanspruch angegebenen Verfahrens moglich. Besonders 
vorteilhaft ist, dass in der ersten Recheneinheit und/oder 
in der zweiten Recheneinheit jeweils eine fehlerfreie 
Ubermittlung der Daten geprtift wird, da hierdurch neben 
einem Eingriff in die Datenubermittlung auch 
Ubertragungsf ehler erfasst werden konnen und eine 
Ubermittlung nach Feststellung eines derartigen 
Ubertragungsf ehler s wiederholt werden kann. 

Weiterhin ist vorteilhaft, dass die ersten. Daten von einem 
Datentragerlauf werk oder von einer dritten Recheneinheit an 
die erste Recheneinheit ubermittelt werden und dass durch 
die zweite Recheneinheit die Identitat der dritten 
Recheneinheit beziehungsweise des Datentragers geprtift wird, 
da hierdurch unberechtigte Kopien eines Datentragers oder 
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die Ubermittlung von einer zur Datenubertragung nicht 
berechtigten dritten Recheneinheit erfasst werden kann. 
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Weiterhin ist vorteilhaft, die Daten verschlusselt zu 
iibertragen, insbesondere verschlusselt mit einem privaten 
Schlussel der jeweiligen ubertragenden Recheneinheit und mit 
einem zu ubermittelnden, offentlichen Schlussel der 
jeweiligen, empfangenden Recheneinheit, da hierdurch neben 
einem sicheren Datentransport auch direkt eine sichere 
Identif izierung der jeweils sendenden Recheneinheit moglich 
ist. Mit einer elektronischen Unterschrif t , also durch eine 
eindeutige, falschungs sichere elektronische Kennzeichnung 
des Absenders in Datenform kann eine Identif izierung 
ermoglicht werden. 

Weiterhin ist eine Funkubertragung vorteilhaft, da hierdurch 
ein Anschlufi an ein f eststehendes Kommunikationsnetz 
vermeidbar ist und somit eine mobile Anwendung des 
Verfahrens moglich ist. 

Weiterhin ist vorteilhaft, dass von der zweiten 
Recheneinheit fur eine Priifung der zweiten Daten auf eine 
Datenbank zuriickgegrif f en wird, in der z.B. alle zur 
Ubertragung berechtigten dritten Recheneinheiten, alle 
berechtigten Datentrager und/oder alle zur Speicherung der 
jeweiligen ersten Daten berechtigten, ersten Recheneinheiten 
abgelegt sind, so dass eine umfassende Uberpriifung moglich 
wird. 

Weiterhin ist vorteilhaft, dass von der zweiten 
Recheneinheit in Abhangigkeit von den zweiten Daten ein 
Zahlungsvorgang veranlasst wird, so dass eine Berechnung der 
ubertragenen ersten Daten durch die zweite Recheneinheit 
moglich ist. Hierdurch kann sichergestellt werden, dass ein 
Benutzer, der ein Programm in Form von ersten Daten mit der 
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ersten Recheneinheit benutzt, erst bei der tatsachlichen 
Ubertragung dieser Daten auf die erste Recheneinheit eine 
Gebiihr bezahlt. Hierdurch kann sichergestellt werden, dass 
ein Benutzer Daten erst dann bezahlen muss, wenn er sie 
tatsachlich verwendet, und nicht bereits wahrend er 
lediglich die Kontrolle uber die jeweiligen Daten hat, z.B. 
durch Besitz eines Datentragers mit diesen Daten. Auch ist 
es moglich, auf diese Weise mittels der zweiten 
Recheneinheit Zahlungsvorgange zu autorisieren, d.h. 
Zahlungsvorgange z.B. in der Form von Kreditkartenzahlungen 
oder Kauf auf tragen fur Waren oder Dienstleistungen, deren 
Datensatze an die erste Recheneinheit iibermittelt wurden. 

Weiterhin ist vorteilhaft, dass eine Benutzung der ersten 
Daten durch die zweite Recheneinheit erlaubt wird, so dass 
erst nach Ubermittlung dieser Erlaubnis an die erste 
Recheneinheit, also nach Freigabe der Daten durch die zweite 
Recheneinheit, die ersten Daten in der Recheneinheit 
verwendet konnen, so dass die Verwendung von unberechtigten_ 
Kopien der ersten Daten oder von falschen ersten Daten in 
der ersten Recheneinheit vermieden wird. 

Weiterhin ist vorteilhaft, dass von der zweiten 
Recheneinheit eine Nutzung der ersten Daten durch die erste 
Recheneinheit gespeichert wird, so dass ein Nutzerprofil fur 
die ersten Daten anhand der von der zweiten Recheneinheit 
gespeicherten Daten erstellt werden kann. 

Weiterhin ist vorteilhaft, dass eine Prufung in der ersten 
Recheneinheit neu gestartet wird, wenn die Prufung nicht 
vollstandig durchlaufen wurde. Hierdurch wird vermieden, 
dass bei einem absichtlichen oder unabsichtlichen 
Unterbrechen des Priifvorgangs , z.B. durch einen 
Stromausf all, einzelne Prufschritte iibergangen werden 
konnen. 
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Weiterhin ist vorteilhaft, dass ein Programm zur Priifung 
und/oder ein Priifergebnis in der zweiten Recheneinheit nicht 
fliichtig gespeichert wird. Einerseits wird hierdurch eine 
mogliche Falschung des Programms zur Priifung der ersten 
Daten bzw. eine Falschung eines Prlif ergebnisses vermieden. 
Aufierdem muss eine Uberpriifung der ersten Daten bei einer 
nicht fliichtigen Speicherung des Priif ergebnisses nicht bei 
jedem Neustart der ersten Recheneinheit erneut durchgefuhrt 
werden. 

Weiterhin ist vorteilhaft, dass die ersten Daten in der 
ersten Recheneinheit geloscht werden, wenn von der zweiten 
Recheneinheit keine Benutzungserlaubnis der ersten Daten 
iibermittelt wird. Eine unberechtigte Benutzung der ersten 
Daten in der ersten Recheneinheit wird hierdurch vermieden. 
Insbesondere ist dies vorteilhaft, wenn die Nutzung der 
ersten Daten zeitlich beschrankt ist, so dass bei einer 
regelmaftigen Uberpriifung einer Benutzungserlaubnis nach _: 
Ablauf einer vorgegebenen Zeitspanne ein Erldschen der 
Benutzungserlaubnis festgestellt wird und die ersten Daten 
automatisch von der ersten Recheneinheit geloscht werden. 

Weiterhin ist vorteilhaft, eine Warming auszugeben, wenn die 
ersten Daten nicht freigegeben werden, so dass ein Benutzer 
dariiber informiert wird, dass er die ersten Daten nicht 
nutzen kann und er gegebenenf alls eine andere Bezugsquelle 
fur die ersten Daten suchen muss. 

Weiterhin ist vorteilhaft, in die zweiten Daten einen 
Priifcode beziiglich der ersten Daten beziehungsweise der 
Identitat der ersten Recheneinheit mit einzubeziehen . 

Weiterhin ist vorteilhaft, insbesondere ein Steuergerat in 
einem Kraf tf ahrzeug als eine erste Recheneinheit 
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auszufiihren, in das Daten von einer dritten Recheneinheit 
beziehungsweise von einem Datentrager ubermittelt werden. 
Insbesondere bei Systemen eines Kraf tf ahrzeugs , die fur die 
Fahrzeugsicherheit relevant sind, ist hierdurch eine 
Kontrolle der iibermittelten Daten moglich, so dass eine 
Funktion der sicherheitsrelevanten Systeme des Fahrzeugs 
nicht durch unberechtigt iibermittelte Daten oder fehlerhafte 
Daten gefahrdet werden kann. 

Zeichnung 

Ausfuhrungsbeispiele der Erfindung sind in der Zeichnung 
dargestellt und in der nachf olgenden Beschreibung naher 
erlautert. Es zeigen Figur 1 ein erstes Ausf tihrungsbeispiei 
fur eine Vorrichtung zur Durchfuhrung des erf indungsgemaften 
Verfahrens, Figur 2 ein zweites Ausf tihrungsbeispiei fur eine 
erf indungsgemafte Vorrichtung zur Durchfuhrung des 
erf indungsgemaflen Verfahrens, Figur 3 ein drittes 
Ausf tihrungsbeispiei fur eine er f indungsgemaBe Vorrichtung 
zur Durchfuhrung des erf indungsgemalien Verfahrens und Figur 
4 einen er f indungsgemalien Verf ahrensablauf . 

Beschreibung des Ausf iihrungsbeispiels 



Das erf indungsgemafie Verfahren zur Datenubertragung kann fur 
eine Vielzahl von Anwendungsf alien, insbesondere fur 
verschiedene zu ubertragende Daten verwendet werden, Bei den 
Daten kann es sich z.B. urn Programmdaten, also um Daten zur 
Steuerung einer Recheneinheit oder eines Gerats handeln 
sowie um Daten, die Inf ormationen beinhalten, z.B. Daten von 
Telef onnummern, Adressen und Land- und Straftenkarten . Ferner 
konnen als erste Daten z.B. auch Daten fur einen 
Zahlungsvorgang, einen Kaufvorgang oder einen 
Buchungsvorgang iibertragen werden. Entsprechend kann die 
erste Recheneinheit als eine- Recheneinheit ausgefuhrt sein, 
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die einen Programmablauf anhand der ersten Daten steuert, so 
z.B. ein Steuergerat in einem Fahrzeug, oder ein 
elektrisches Gerat im Haushalt bzw. in einem industriellen 
Einsatz. Die erste Recheneinheit kann ferner als Teil einer 
Vorrichtung zur vorzugsweise gezielten Wiedergabe der 
ubermittelten ersten Daten sein. Ferner kann die erste 
Recheneinheit in eine Vorrichtung zur Durchftihrung des 
Zahlungs-, Kauf oder Buchungsvorgangs integriert sein. 

Das erf indungsgemafie Verfahren wird im Folgenden anhand der 
Verwendung fur ein Steuergerat in einem Kraft fahrzeug 
erlautert, bei dem erste Daten in Form von Programmdaten 
und/oder Inf ormationen an die erste Recheneinheit, also das 
Steuergerat, ubermittelt werden. Das Verfahren kann ohne 
Weiteres auch in anderen Fahrzeugen verwendet werden, so 
z.B. in Flugzeugen, in Schiffen oder in Schienenf ahr zeugen . 

In der Figur 1 ist ein Steuergerat 1 in einem Kraf tf ahr zeug 
20 dargestellt, das mit einem Fahr zeugsystem 2 verbunden 
ist. Das Fahrzeugsystem 2 ist z.B. eine Motorsteuerung, die 
einen Verbrennungsvorgang im Fahrzeugmotor oder eine 
Kraf tumsetzung des Fahrzeugmotors steuert, eine 
Anzeigevorrichtung im Fahrzeug zur Darstellung von 
anzuzeigenden Inf ormationen oder eine 

Navigationsvorrichtung, die Fahrhinweise an einen Benutzer 
des Fahrzeugs ausgibt. In dem Steuergerat 1 ist eine erste 
Recheneinheit 3 angeordnet. Ferner verfiigt das Steuergerat 1 
iiber einen nicht fliichtigen Speicher 5, der zumindest in 
einen ersten Bereich 6, einen zweiten Bereich 7 und einen 
dritten- Bereich 17 aufgeteilt ist. Das Steuergerat 1 ist 
ferner- mit einem ersten Datentragerlauf werk 4 fur einen 
Datentrager 8 verbunden, das ebenfalls in dem Fahrzeug 20 
angeordnet ist. Der Datentrager 8 wird in einer Vorrichtung 
zur Datentragverarbeitung 10 mit Daten von einer dritten 
Recheneinheit 11 in einem zweiten Datentragerlauf werk 9 
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beschrieben. Das Steuergerat 1 ist ferner liber eine erste 
Funkverbindung 12 mit einer Prufeinheit 14 verbunden. Die 
Prlifeinheit 14 verfiigt liber eine zweite Recheneinheit 15 und 
eine Datenbank 16 und ist mit einer Verrechnungsstelle 13 
verbunden. 

Von der Vorrichtung zur Datentragverarbeitung 10 werden 
Daten der dritten Recheneinheit 11 mittels des zweiten 
Datentragerlaufwerks 9 auf den Datentrager 8 geschrieben. 
Der Datentrager 8 ist vorzugsweise als ein optischer 
und/oder als ein magnetischer Datentrager ausgefuhrt. Bei 
Verwendung eines optischen Datentragers ist auch eine 
mechanische Herstellung des Datentragers in dem zweiten 
Datentragerlaufwerk 9 moglich. Die Vorrichtung zur 
Datentragverarbeitung 10 ist aufierhalb des Fahrzeugs 20 
angeordnet. 

Der Datentrager 8 wird von einem Benutzer in das Fahrzeug 20 
gebracht und in das erste Datentragerlaufwerk 4 eingelegt. 
Die auf dem Datentrager 8 gespeicherten Daten werden von dem 
ersten Datentragerlaufwerk 4 gelesen und an die erste 
Recheneinheit 3 ubermittelt. Die erste Recheneinheit 3 
erkennt neu iibermittelte, erste Daten und startet ein in dem 
ersten Bereich 6 des nicht fluchtigen Speichers 5 
gespeicherten Prograiran zur Prlifung der ersten Daten, die 
ausgehend von der dritten Recheneinheit 11 mittels des 
Datentragers 8 ih einen fluchtigen Speicher der ersten 
Recheneinheit 3 ubermittelt wurden. Die erste Recheneinheit 
3 baut eine erste Funkverbindung 12 zu der Prufeinheit 14 
auf und stellt somit einen Kontakt zu der Prufeinheit 14 
her. Ferner bestimmt die erste Recheneinheit 3 gemaft dem 
Programm, das in dem ersten Bereich 6 abgelegt ist, zweite 
Daten, die sich auf die libermittelten, ersten Daten 
beziehen. Die zweiten Daten konnen hierbei z.B. eine 
Identitatsnummer des Datentragers 8 und/oder eine Priif suinine, 



z.B. die Summe oder die Quersumme einer vorgegebenen Folge 
von Bytes der ersten Daten, Ausschnitte oder eine sonstige 
Codierung der ersten Daten enthalten. In einem weiteren 
Ausfuhrungsbeispiel ist auch eine zumindest partielle 
Ubertragung der ersten Daten als zweite Daten an die 
Prufeinheit 14 moglich. In der Priifeinheit 14 werden die von 
dem Steuergerat 1 mittels der ersten Funkverbindung 12 
iibermittelten zweiten Daten anhand eines Vergleichs mit in 
der Datenbank 16 gespeicherten Daten geprtift. Hierbei ist 
z.B. eine Priifung einer Identitatsnummer des Datentragers 8 
und/oder einer Identitatsnummer der ersten Recheneinheit 3 
moglich. Hiermit kann z.B. iiberpriift werden, ob der Besitzer 
der ersten Recheneinheit 3 zur Benutzung des Datentragers 8 
befugt ist. Ferner kann iiberpriift werden, ob die auf dem 
Datentrager 8 gespeicherten ersten Daten durch die erste 
Recheneinheit 3 verwendet werden konnen, insbesondere ob der 
Datentrager 8 eine befugte Kopie der ersten Daten beinhaltet 
bzw. ob die ersten Daten iiberhaupt zu einer Verwendung in 
der zweiten Recheneinheit 15 bzw. 27 geeignet sind oder ob 
z.B. eine falsche oder veraltete Version der ersten Daten 
vorliegt. Ist dies der Fall, so wird eine 

Benutzungserlaubnis uber die erste Funkverbindung 12 an die 
erste Recheneinheit 3 iibermittelt . Die erste Recheneinheit 3 
speichert in dem zweiten Bereich 7 des nicht fluchtigen 
Speichers 5, dass die Benutzung der ersten Daten durch die 
erste Recheneinheit 3 erlaubt ist. In einem bevorzugten 
Ausfuhrungsbeispiel wird in dem dritten Bereich 17 des nicht 
fliichtigen Speichers 5 zumindest ein Teil der' ersten Daten 
gespeichert. Die ersten Daten konnen auch in einem in der 
Figur nicht gezeigten, mit dem Steuergerat 1 verbundenen 
Massenspeicher, so z.B. einer Festplatte, in dem Fahrzeug 20 
gespeichert werden. Die ersten Daten konnen nun von der 
ersten Recheneinheit 3 entweder unter Zugriff auf den 
Datentrager 8, den dritten Bereich 17 und/oder den 
Massenspeicher genutzt werden, urn das Fahr zeugsystem 2 zu 
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steuern, also z.B. eine Benzineinsprit zung, eine 
Motorsteuerung oder eine Anzeigeeinheit zu beeinf lussen. In 
einem bevorzugten Ausf uhrungsbeispiel wird das Erteilen der 
Benutzungserlaubnis an eine Verrechnungsstelle 13 
weitergeleitet, von der der Benutzer des Fahrzeugs 20 mit 
den Kosten fur die Benutzung der ersten Daten belastet wird, 
indem z.B, ein Kreditkartenkonto des Benutzers belastet 
wird. In einem bevorzugten Ausf uhrungsbeispiel erfolgt die 
erste Funkverbindung 12 uber eine gesicherte Verbindung, 
indem von der ersten Recheneinheit 3 die zu ubermittelten 
zweiten Daten codiert und von der zweiten Recheneinheit 15 
wieder decodiert werden. Ebenso gilt dies fur die umgekehrte 
Ubertragung einer Benutzungserlaubnis von der zweiten 
Recheneinheit 15 an die erste Recheneinheit 3. Fur eine 
Codierung wird insbesondere ein privater Schlussel jeweils 
der ersten Recheneinheit 3 beziehungsweise der zweiten 
Recheneinheit 15 verwendet, so dass eine Identif izierung der 
ubertragenden Recheneinheit moglich ist und eine Falschung 
einer Benutzungserlaubnis unterbunden wird. 

In einem bevorzugten Ausf uhrungsbeispiel ist der nicht 
fliichtige Speicher 5 als ein Halbleiterbaustein ausgefuhrt, 
der fest in das Steuergerat 1 eingebaut ist, so dass eine 
Umgehung der Priifung nur durch ein Ersetzen des nicht 
fluchtigen Speichers 5 moglich ist. Die Vorrichtung zur 
Datentragverarbeitung 10 kann sich im Besitz des Benutzers 
des Fahrzeugs befinden, der mittels eines Abrufs uber ein 
Datennetz, z.B. dem Internet, Daten ladt und diese mittels 
der Vorrichtung zur Datentragverarbeitung 10 auf den 
Datentrager 8. und mit diesem in das Fahrzeug 20 bringt. 
Ferner kann die Vorrichtung zur Datentragverarbeitung 10 
auch von einem Hersteller des Steuergerats 1 oder eines 
anderen kommerziellen Anbieters von Daten fur das Fahrzeug 
20 bzw. fur das Steuergerat 1 betrieben werden. Mit einer 
Uberpriifung uber die Prufeinheit 14, die vorzugsweise 
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ebenfalls von dem Herstellers des Fahrzeugs 20 oder des 
Steuergerats 1 betrieben wird, kann eine unsachgemafte oder 
verbotene Benutzung von Daten in dem Steuergerat 1 vermieden 
werden. Wird von der Prufeinheit 14 eine Benut zungserlaubnis 
versagt, oder trifft von der Prufeinheit 14 keine Antwort 
bei der ersten Recheneinheit 3 ein, so werden die in der 
ersten Recheneinheit 3 abgelegten ersten Daten in dem 
Fahrzeug 20 geloscht. In einem bevorzugten 
Ausf Iihrungsbeispiel wird eine Benutzungsanf rage bei der 
Prufeinheit 14 nach vorgebbaren Zeitabstanden wiederholt 
ausgeflihrt, so dass eine zeitliche Beschrankung der Nutzung 
der ersten Daten moglich und uberprufbar ist. 

In der Figur 2 ist ein zweites Ausflihrungsbeispiel fur eine 
Vorrichtung zur Durchfuhrung des er f indungsgemaften 
Verfahrens dargestellt. Hier und im Folgenden bezeichnen 
gleiche Bezugszeichen auch die gleichen Elemente. Das 
Steuergerat 1 ist liber eine zweite Funkverbindung 24 mit 
einer Dienstezentrale 21 verbindbar, die liber eine dritte 
Recheneinheit 22 und liber einen Datenspeicher 23 verfugt. 
Uber die zweite Funkverbindung 24 sind in dem Datenspeicher 
23 gespeicherte erste Daten von der ersten Recheneinheit 3 
von der Dienstzentrale abrufbar. Die dritte Recheneinheit 22 
ubermittelt so auf Anforderung durch die erste Recheneinheit 
3 in dem Datenspeicher abgelegte erste Daten liber die zweite 
Funkverbindung 24 an die erste Recheneinheit 3 des 
Steuergerats 1. Ein Datentragerlaufwerk in dem Fahrzeug 20 
ist bei diesem Ausf iihrungsbeispiel nicht erf orderlich, kann 
jedoch erganzend verwendet werden. 

Die erste Funkverbindung 12 und die zweite Funkverbindung 2 4 
sind vorzugsweise als Mobilf unkverbindung (z.B. GSM, UMTS) 
ausgeflihrt. Hierbei ist die zweite Funkverbindung 24 
insbesondere als eine Funkverbindung ausgeflihrt, die einen 
hohen Datendurchsatz ermoglicht, urn auch grofte Datenmengen 
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z.B. fur Kartendaten fiir eine Navigationsvorrichtung oder 
fur Programmdaten fiir eine Motorsteuerung, in einer fur 
einen Benutzer akzeptablen Zeit ubertragen zu konnen. Ferner 
ist auch moglich, dass sowohl die Dienstezentrale 21, das 
Steuergerat 1 und die Priifeinheit 14 jeweils mit einem 
Datennetz, so z.B. dem Internet, verbunden sind und eine 
Kommunikation zwischen den einzelnen Einheiten jeweils iiber 
das Datennetz erfolgt. Eine Funkschnittstelle fur die erste 
Funkverbindung 12 kann auch fiir die zweite Funkverbindung 
verwendet werden. 

In der Figur 3 ist ein weiteres Ausf uhrungsbeispiel 
dargestellt, bei dem die Priifeinheit 14 durch eine 
Diagnosevorrichtung 26 ersetzt ist, die iiber eine 
Steckerverbindung 25 mit dem Fahrzeug 20 beziehungsweise mit 
dem Steuergerat 1 verbunden wird. In der Diagnosevorrichtung 
26 ist eine zweite Recheneinheit 27 angeordnet, mit der die 
zweiten Daten iiberpriift werden, die von der ersten 
Recheneinheit 3 iiber die Steckerverbindung 25 an die zweite 
Recheneinheit 27 iibermittelt werden. Die ersten Daten sind 
der ersten Recheneinheit 3, wie in der Figur 3 dargestellt, 
iiber die zweite Funkverbindung " 2 4 zufilhrbar. In einem in der 
Figur 3 nicht dargestellten Ausf uhrungsbeispiel ist auch 
eine Zufiihrung der ersten Daten mittels eines Datentragers 8 
gemaft dem Ausf uhrungsbeispiel der Figur 1 an die dritte 
Recheneinheit moglich. Durch die Verwendung der 
Diagnosevorrichtung 26 ist eine Uberpriifung der Korrektheit 
der in dem Steuergerat 1 gespeicherten ersten Daten, z.B. in 
einer Werkstatt, auch moglich, ohne eine Funkverbindung 
aufzubauen. Eine Priifung kann dabei durch die 
Diagnosevorrichtung 26 gestartet werden. Unzulassige erste 
Daten konnen dabei aus dem Steuergerat 1 geloscht werden. In 
einem bevorzugten Ausf uhrungsbeispiel ist die 
Diagnosevorrichtung 26 iiber eine dritte Funkverbindung 28 
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mit einer Datenbank 30 in einer zweiten Dienst zentrale 29 
verbindbar, durch die z.B. eine Identitat der ersten 
Recheneinheit beziehungsweise eine Erlaubnis zur Benutzung 
von ersten Daten durch die erste Recheneinheit uberpruft 
werden kann. Die zweite Dienstzentrale 29 wird dabei 
vorzugsweise von dem Hersteller des Fahrzeugs 20 oder dem 
Hersteller des Steuergerats 1 betrieben. 

In der Figur 4 ist ein erstes Ausf uhrungsbeispiel fur den 
Ablauf des erf indungsgemaften Verfahrens dargestellt. Das 
Verfahren ist dabei fur die Ubertragung von ersten Daten an 
die erste Recheneinheit sowohl mittels eines Datentragers 8 
als auch mittels einer Ubertragung von ersten Daten von 
einer Dienstezentrale 21 anwendbar . In einem 
Initialisierungsschritt 40 wird das erf indungsgemafte 
Verfahren durch das Einlegen des Datentragers 8 in das erste 
Datentragerlaufwerk 4 gestartet. In einem anschlieftenden 
Ladeschritt 41 werden die ersten Daten von dem Datentrager ,8 
an die erste Recheneinheit 3 ubertragen. Danach wird mit 
einem Ermittlungsschritt 42 der Prufvorgang eingeleitet. 

Werden die Daten von einer Dienstezentrale 21 an die erste 
Recheneinheit 3 iibermittelt, so beginnt der Verf ahrensablauf 
mit einem Anf rageschritt 43, mit dem erste Daten von der 
Dienstezentrale 21 uber die zweite Funkverbindung 24 von der 



ersten Recheneinheit 3 abgerufen werden. In einem 
Verschlusselungsschritt 44 werden die ersten Daten von der 
dritten Recheneinheit 22 verschliisselt und/oder elektronisch 
unterschrieben und in einem anschlieftenden 
Ubertragungsschritt 45 an die erste Recheneinheit 3 
ubermittelt. In einem darauf f olgenden Decodierschritt 46 
werden die ubermittelten, verschlusselten und/oder 
elektronisch unterschrieben Daten von der ersten 
Recheneinheit 3 decodiert. In einem bevorzugten 
Ausf uhrungsbeispiel wird dabei ein offentlich zuganglicher 
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Schlussel der ersten Recheneinheit 3 zum V'erschlusseln 
und/oder elektronischen Unterschreiben der Daten in der 
dritten Recheneinheit 22 verwendet, so dass die Daten nur 
von der ersten Recheneinheit 3 entschliisselt und/oder die 
elektronische Unterschrift gepruft werden konnen, wobei die 
erste Recheneinheit uber den zugehorigen privaten Schlussel 
zur Entschliisselung verfiigt. Ferner wird zur Verschlusselung 
ein privater Schlussel der dritten Recheneinheit 22 
verwendet, so dass eine eindeutige Identif izierung der 
Datenquelle moglich 1st. Mit dem Ermittlungsschritt 42 wird 
das Prufverf ahren gestartet. Sollte das Prtif verf ahren vor 
seinem Ablauf unterbrochen werden, so z.B. durch einen 
Stromausf all, muss das Prufverf ahren zumindest wieder 
ausgehend von dem Ermittlungsschritt 42 begonnen werden, in 
dem festgestellt wird, dass eine Ubertragung von ersten 
Daten an die erste Recheneinheit 3 beendet wurde, bzw. in 
dem festgestellt wird, dass die ersten Daten auf einem 
Datentrager zur Verfiigung. stehen. Mit Beginn des 
anschlieftenden Prufablaufs wird vorzugsweise in dem nicht 
fluchtigen Speicher 5, vorzugsweise in dem zweiten Bereich 
7, in dem das Prufergebnis gespeichert wird, ein Code dafiir 
gespeichert, dass ein Prufverf ahren lauft. Wird nun die 
Stromzufuhr zu dem Steuergerat unterbrochen, so wird bei 
einem erneuten Start des Steuergerates 1 festgestellt, dass 
ein Prufverf ahren nicht beendet wurde und das Prufverf ahren 
wird ausgehend von dem Ermittlungsschritt 42 neu gestartet. 

An den Ermittlungsschritt 42 schlieftt sich ein erster 
Priifschritt 47 an, in dem uberpriift wird, ob die an die 
erste Recheneinheit 3 ubermittelten Daten korrekt iibertragen 
wurden. Eine korrekte Ubertragung liegt z.B. bei einer 
fehlerfreien Entschliisselung vor, sofern die Daten 
verschliisselt iibertragen wurden. Ferner konnen den ersten 
Daten auch Paritatsdaten zugefiigt sein, aus denen 
Ubertragungsf ehler ermittelbar sind. Wird festgestellt, dass 
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die Daten nicht korrekt ubertragen wurden, so wird zu einem 
zweiten Priifschritt 48 verzweigt, in dem iiberpriift wird, ob 
das Ubertragen von Daten an die erste Recheneinheit 3 
bereits mehrmals erfolglos war. Eine Toleranzschwelle ist 
hierbei vorgebbar. Werden z.B. Daten von einem Datentrager 8 
gelesen, so ist problemlos ein inehrfacher Versuch moglich, 
die Daten von dem moglicherweise leicht verschmut zten oder 
beschadigten Datentrager zu lesen. Werden Daten iiber eine 
Funkverbindung ubertragen, so konnen bei einer 'mehrf achen 
Wiederholung hohe Ubertragungskosten verursacht werden. 
Daher ist hier die Anzahl der Versuche zu beschranken, z.B. 
auf drei Ubertragungsversuche . Wird in dem zweiten 
Priifschritt f estgestellt , dass eine fehlerfreie Ubertragung 
mehrfach nicht moglich war, so wird zu einem Endschritt 49 
verzweigt, in dem eine Warnung an einen Benutzer ausgegeben 
wird, dass eine Ubertragung beziehungsweise eine Verwendung 
der ersten Daten in dem Steuergerat 1 nicht moglich ist. 
Wird dagegen in dem zweiten Priifschritt 48 f estgestellt , 
dass noch mindestens ein Versuch zur Ubertragung 
durchgefuhrt werden soil, so wird zu dem Ladeschritt 41 
beziehungsweise zu dem Ubertragungsschritt 45 zuruck 
verzweigt. 

Wird in dem ersten Priifschritt 47 f estgestellt , dass die 
ersten Daten fehlerfrei an die erste Recheneinheit 
ubertragen wurden, so wird zu einem Ubermitt lungs- und 
Ubertragungsschritt 50 verzweigt, in dem aus den ersten 
Daten ein Prufcode ermittelt wird, so z.B. eine Prufsumme, 
eine Abfolge bestimmter Zeichen der ersten Daten oder 
andere, vorgebbare Teile der ersten Daten. Vorzugsweise wird 
den zweiten Daten eine Identitat, vorzugswei.se eine 
Identitatsnummer der ersten Recheneinheit 3, des 
Datentragers 8 und/oder der dritten Recheneinheit 22 
zugefiigt. In dem Ermittlungs- und Ubertragungsschritt 50 
werden diese Daten vorzugsweise verschliisselt und/oder 
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elektronisch unterschrieben an die Prtifeinheit 14 



10 



15 



20 
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25 



beziehungsweise die Diagnosevorrichtung 26 ubertragen. Eine 
Verschlusselung der zweiten Daten erschwert es, eine 
Prtifeinheit 14 beziehungsweise eine Diagnosevorrichtung 26 
zu simulieren und damit einen Priifvorgang der ersten Daten 
durch eine unerlaubte Falschung einer Priifeinheit 14 bzw. 
einer Diagnosevorrichtung 26 zu umgehen. In einem 
anschlieftenden dritten Prufschritt 51 wird eine fehlerfreie 
Ubertragung der zweiten Daten von der ersten Recheneinheit 3 
an die zweite Recheneinheit 15 gemafl dem Ausf uhrungsbeispiel 
der Figuren 1 und 2 bzw. an die zweite Recheneinheit 27 
gemafl.dem Ausf uhrungsbeispiel der Figur 3 iiberpruft. Wird 
keine fehlerfreie Ubertragung f estgestellt , so wird zu einem 
vierten Prufschritt 52 verzweigt, in dem iiberpruft wird, ob 
mehrmals eine fehlerfreie Ubertragung der zweiten Daten 
nicht moglich war. Wird f estgestellt , dass mehrfach die 
zweiten Daten nicht korrekt ubertragen werden konnten, wobei 
hier ebenfalls die Anzahl fiir ein maximales, fehlerhaftes 
Ubertragen vorgebbar ist, so wird zu einem Endschritt 53 
verzweigt. In dem Endschritt 53 wird von der zweiten 
Recheneinheit 15 bzw. 27 an die erste Recheneinheit 3 als 
ein Ergebnis iibermittelt, dass die zweiten Daten nicht 
fehlerfrei ubertragen werden konnten. Dies wird von der 
ersten Recheneinheit ausgegeben, z.B. tiber eine Anzeige oder 
einen Lautsprecher, die in der Zeichnung nicht dargestellt 
sind. Sollte ein Kontakt zur zweiten Recheneinheit nicht 
moglich sein, so wird dies von der ersten Recheneinheit 3 
ebenfalls festgestellt und ausgegeben. Das Priifverf ahren 
wird damit unterbrochen und gegebenenf alls zu einem spateren 
Zeitpunkt wieder neu ausgehend von dem Ermittlungsschritt 42 
aufgenommen. Wird in dem vierten Prufschritt 52 
festgestellt, dass ein erneuter Versuch zur Ubertragung der 
zweiten Daten moglich ist, so wird zu dem Ermittlungs- und 
Ubertragungsschritt 50 zuriick verzweigt und von der ersten 



Recheneinheit 3 werden die zweiten Daten erneut an die 
zweiten Recheneinheit 15 bzw. 27 iibertragen. 

Wird in dem dritten Priifschritt 51 f estgestellt, dass die 
zweiten Daten korrekt iibertragen wurden, so wird zu dem 
funften Priifschritt 54 weiterverzweigt , in dem von der 
zweiten Recheneinheit 15 bzw. 27 die zweiten Daten 
dahingehend iiberpriift werden', ob die ersten Daten, auf die 
die zweiten Daten bezogen sind, in der ersten Recheneinheit 
3 verwendet werden diirfen. Hierbei wird z.B. iiberpriift, ob 
die ersten Daten zulassige Daten zur Verwendung in der ^ 
ersten Recheneinheit 3 sind. Ferner kann iiberpruft werden, 
ob die auf dem Datentrager 8 gespeicherten ersten Daten eine 
erlaubte Kopie der ersten Daten sind, oder ob z.B. eine 
Identitatsnummer des Datentragers 8 bereits fur eine 
Benutzung fur eine andere erste Recheneinheit 3 registriert 
ist und damit ein Datentrager 8 als Original oder als Kopie 
unberechtigt verwendet wird. Hierzu wird in dem funften 
Priifschritt 54 die Datenbank 16 bzw. die Datenbank 30 
abgefragt. Zusatzlich kann hierbei eine von einem Benutzer 
erganzend anzugebende Personliche Identif ikationsnummer 
(PIN) oder eine Transaktionsnummer (TAN) iiberpruft werden, 
die von einem Benutzer in die erste Recheneinheit eingegeben 
werden. 

Wird in dem funften Priifschritt 54 f estgestellt , dass die 
ersten Daten in der ersten Recheneinheit 3 nicht benutzt 
werden diirfen, so wird zu einem Verbietungsschritt 55 
verzweigt, in dem von der zweiten Recheneinheit 15 bzw. 27 
ein Verbot der Benutzung der ersten Daten an die erste 
Recheneinheit iibermittelt wird. Danach wird zu einem 
Endschritt 56 verzweigt, in dem die ersten Daten in der 
ersten Recheneinheit 3 und damit in dem ersten Steuergerat 1 
und dem Fahrzeug 20 geloscht werden. Wird in dem funften 
Priifschritt 54 f estgestellt , dass eine Benutzung der ersten 
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Daten durch die erste Recheneinheit 3 zulassig ist, so wird 
zu einem sechsten Prufschritt 57 weiterverzweigt, in dem 
iiberpruft wird, ob fur die Verwendung der ersten Daten durch 
die erste Recheneinheit 3 eine Bezahlung erforderlich ist. 
Ist eine Bezahlung erforderlich, so wird zu einem 
Verrechnungsschritt 58 weiterverzweigt, in dem dem Benutzer 
des Fahrzeugs 20 ein vorgegebener Betrag iiber die 
Verechnungsstelle 13 berechnet wird, z.B. durch eine 
Kreditkartenbelastung. Wird in dem sechsten Prufschritt 57 
f estgestellt, dass eine Berechnung nicht- erforderlich ist, 
so wird zu einem Erlaubnisschritt 59 weiterverzweigt. Der 
Erlaubnisschritt 59 wird auch von dem Verrechnungsschritt 58 
aus erreicht. In dem Erlaubnisschritt 59 wird eine Erlaubnis 
zur Verwendung der ersten Daten durch die erste 
Recheneinheit 3 an die erste Recheneinheit 3 iibermittelt. In 
einem anschlieftenden Verwendungsschritt 60 wird das 
Prufverf ahren beendet und ein positives Prufergebnis fur 
eine Erlaubnis zur Verwendung der ersten Daten in der ersten 
Recheneinheit 3 sowie ein Abschluss des Prufverf ahrens wird 
in dem nicht fliichtigen Speicher 5 gespeichert . Die an die . 
erste Recheneinheit 3 iibermittelten ersten Daten, so z.B. 
Programm- oder Inf ormationsdaten, konnen nun durch die erste 
Recheneinheit 3 verwendet werden, indem das durch die ersten 
Daten beschriebene Programm ausgefiihrt oder die 
Informationen, die in den ersten Daten enthalten sind, von 
der ersten Recheneinheit 3 ausgewertet und/oder ausgegeben 
werden. Diese Verwendung ist entweder zeitlich unbegrenzt 
oder fur einen vorgegebenen Zeitraum moglich, der dann 
vorzugsweise in dem nicht fliichtigen Speicher 5 mit abgelegt 
wird. Nach Ende dieses vorgegebenen Zeitrauins wird eine 
erf indungsgemafie Prufung erneut ausgehend von dem 
Ermittlungsschritt 42 durchgef iihrt , so dass entweder die 
ersten Daten von der ersten Recheneinheit 3 und damit auch 
aus dem Steuergerat 1 geloscht werden oder dass eine neue 




Berechnung mit dem Verrechnungsschritt 58 cies Pruf ver f ahrens 
erfolgt und hierdurch eine weitere Freigabe erreicht wird. 
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Anspruche 

1. Verfahren zur Dateniibertragung, wobei erste Daten an eine 
erste Recheneinheit ubermittelt werden, dadurch 
gekennzeichnet, dass auf die ersten Daten bezogene zweite 
Daten an eine zweite Recheneinheit ubermittelt werden, dass 
die zweiten Daten in der zweiten Recheneinheit gepriift 
werden und dass ein Prufergebnis an die erste Recheneinheit 
ubermittelt wird. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass 
die ersten Daten von einem Datentragerlaufwerk pder von 
einer dritten Recheneinheit an die erste Recheneinheit 
ubermittelt werden . 

3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass 
in der zweiten Recheneinheit eine Identitat der dritten 
Recheneinheit und/oder des Datentragers gepriift wird. 

4. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, dass in der ersten Recheneinheit 
und/oder in der zweiten Recheneinheit jeweils eine 
fehlerfreie Ubermittlung der Daten gepriift wird. 

5. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, dass die ersten und/oder die zweiten 



Daten verschlusselt und/oder elektronisch unterschrieben 
ubertragen werden . 

6. Verfahren nach Anspruch 5, dadurch gekennzeichnet , dass 
die Daten mit einem privaten Schliissel der jeweiligen 
Recheneinheit verschlusselt und/oder elektronisch 
unterschrieben werden. 

7. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, dass die erste. mit der zweiten 
Recheneinheit und/oder die zweite mit der dritten 
Recheneinheit iiber Funk verbunden werden. 

8. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, dass in der zweiten Recheneinheit 
fur die Prufung der zweiten Daten auf eine Datenbank 
zuruckgegrif f en wird. 

9. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, dass von der zweiten Recheneinheit 
in Abhangigkeit von den zweiten Daten ein Zahlungsvorgang 
veranlasst wird. 

10. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, dass eine Benutzung der ersten Daten 
in der ersten Recheneinheit von der zweiten Recheneinheit 
erlaubt wird. 

11. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, dass von der zweiten Recheneinheit 
eine Nutzung der ersten Daten durch die erste Recheneinheit 
gespeichert wird. 
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12. Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, dass eine Prufung in der ersten 
Recheneinheit neu gestartet wird, wenn die Prufung nicht 
vollstandig durchlaufen wurde . 

13. Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet , dass ein Programm zur Prufung der 
ersten Daten und/oder ein Prufergebnis in der zweiten 
Recheneinheit nichtf ltichtig gespeichert wird. 

14. Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, dass die ersten Daten in der ersten 
Recheneinheit geloscht werden, wenn von der dritten 
Recheneinheit keine Benut zungserlaubnis der ersten Daten 
ubermittelt wird. 

15. Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, dass eine Warming ausgegeben wird, 
wenn die ersten Daten nicht freigegeben werden. 

16. Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, dass aus den ersten Daten ein erster 
Priifcode bestimmt wird und dass die zweiten Daten zumindest 
teilweise aus dem ersten Priifcode gebildet werden. 

17. Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, dass aus Daten der ersten 
Recheneinheit ein zweiter Priifcode bestimmt wird und dass 
die zweiten Daten zumindest teilweise aus dem zweiten 
Priifcode gebildet werden. 

18. Vorrichtung zur Durchf iihrung des Verfahrens nach einem 
der vorhergehenden Anspriiche. 
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19. Steuergerat in einem Kraf t f ahrzeug zur Durchfiihrung des 
Verfahrens nach einem der Anspruche 1-17, dadurch 
gekennzeichnet, dass die erste Recheneinheit (3) in dem 
Steuergerat . (1) angeordnet ist. 

20. Pruf recheneinheit zur Durchfiihrung des Verfahrens nach 
einem der Anspruche 1-17, dadurch gekennzeichnet, dass die 
zweite Recheneinheit (15, 27) in der Pruf recheneinheit (14, 
26) angeordnet ' ist . 

21. Dienstezentrale zur Durchfiihrung des Verfahrens nach 
einem der Anspriiche 1-17, dadurch gekennzeichnet, dass die 
dritte Recheneinheit (22) in der Dienstezentrale (21) 
angeordnet ist. 
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Verfahren zur Dateniibertragung 
Zusammenf as sung 

Es wird ein Verfahren zur Dateniibertragung vorgeschlagen, 
bei dem erste Daten an eine erste Recheneinheit ubermittelt 
werden, anschlieftend auf die ersten Daten bezogene zweite 
Daten an eine zweite Recheneinheit ubermittelt werden und 
ein Priifergebnis an die erste Recheneinheit zuriick 
ubermittelt wird. Hierdurch ist eine unabhangige Priifung von^ 
an eine erste Recheneinheit ubermittelten Daten durch eine 
zweite Recheneinheit moglich, so dass eine miftbrauchliche 
oder verbotene Benutzung von ersten Daten in der ersten 
Recheneinheit verhindert werden kann. 

(Figur 1) 
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